Bài học kinh nghiệm nào cho tổ chức trong quá trình triển khai Zero Trust? (phần 2)
Bài học kinh nghiệm từ việc triển khai Zero Trust của Microsoft
Theo Microsoft, việc triển khai Zero Trust tập trung vào 3 nội dung và 4 giai đoạn.
Về nội dung, Microsoft xác định có 3 nội dung triển khai theo mô hình Zero Trust gồm có: (1) Các dịch vụ doanh nghiệp được sử dụng trên toàn tổ chức, bao gồm các ứng dụng Office và các ứng dụng chuyên dụng cho doanh nghiệp. (2) Thiết bị chạy hệ điều hành Windows, Mac, iPhone và Android. (3) Quản lý thiết bị được xử lý thông qua Microsoft Intune, một dịch vụ quản lý thiết bị di động (Mobile Device Management - MDM) dựa trên đám mây.
Bốn giai đoạn chính triển khai mô hình Zero Trust của Microsoft cụ thể là:
Giai đoạn 1: Xác minh danh tính
Microsoft yêu cầu xác thực hai yếu tố cho tất cả các truy cập từ xa vào mạng của mình. Phương pháp xác thực này đã phát triển từ việc sử dụng thẻ thông minh vật lý sang các thử thách dựa trên điện thoại thông qua ứng dụng Azure Authenticator. Trong tương lai, Microsoft có mục tiêu loại bỏ mật khẩu và chuyển sang xác thực sinh trắc học hoàn toàn.
Giai đoạn 2: Xác minh sức khỏe của thiết bị
Microsoft đăng ký các thiết bị người dùng bằng dịch vụ MDM Intune. Một chính sách về sức khỏe thiết bị yêu cầu các thiết bị phải được quản lý và đảm bảo "khỏe mạnh". Điều này có nghĩa thiết bị phải được cập nhật bản vá và kiểm tra để đảm bảo không bị nhiễm mã độc hoặc có lỗ hổng bảo mật thì mới được phép truy cập vào các ứng dụng năng suất lớn của công ty như Exchange, SharePoint và Teams. Microsoft cũng hỗ trợ các thiết bị không được quản lý trong các trường hợp đặc biệt bằng cách cung cấp các máy tính để bàn và ứng dụng ảo hóa Windows.
Giai đoạn 3: Xác minh quyền truy cập
Microsoft đã tối thiểu hóa quyền truy cập vào tài nguyên doanh nghiệp và yêu cầu cả xác minh danh tính lẫn sức khỏe thiết bị. Quyền truy cập vào các dịch vụ và ứng dụng chính sẽ dần chuyển từ việc truy cập trực tiếp vào mạng doanh nghiệp, sang sử dụng Internet kết hợp với VPN và cuối cùng là chỉ qua Internet giảm số lượng người dùng cần truy cập vào mạng nội bộ của công ty.
Giai đoạn 4: Xác minh dịch vụ
Cuối cùng, Microsoft dự định bổ sung xác minh sức khỏe dịch vụ, đảm bảo rằng dịch vụ hoạt động ổn định trước khi bắt đầu tương tác với người dùng. Hiện tại, giai đoạn này đang trong quá trình thử nghiệm bằng chứng khái niệm (Proof-of-concept).
Những nguyên nhân thất bại khi triển khai Zero Trust
Khi triển khai mô hình Zero Trust, nhiều tổ chức gặp phải các vấn đề dẫn đến thất bại trong việc bảo vệ an ninh mạng. Dưới đây là một số nguyên nhân phổ biến mà các tổ chức cần lưu tâm.
Thiếu đào tạo và nhận thức
Một trong những nguyên nhân hàng đầu dẫn đến thất bại là việc thiếu đào tạo cho nhân viên về các phương pháp bảo mật và quy trình của mô hình Zero Trust. Nếu nhân viên không hiểu cách sử dụng các biện pháp bảo mật như xác thực đa yếu tố hoặc không nhận thức được tầm quan trọng của việc tuân thủ chính sách bảo mật, họ có thể dễ dàng bỏ qua các bước bảo vệ cần thiết.
Chính sách không rõ ràng
Việc thiếu các chính sách rõ ràng và chi tiết cũng có thể dẫn đến thất bại. Nếu tổ chức không xác định được quyền truy cập cụ thể cho từng người dùng hoặc thiết bị, thì sẽ có nguy cơ cao về việc các tài nguyên nhạy cảm bị truy cập trái phép. Chính sách cần phải được thiết lập một cách nhất quán và có thể điều chỉnh để phù hợp với thực tế hoạt động của tổ chức.
Giám sát không đầy đủ
Giám sát liên tục là yếu tố thiết yếu trong việc triển khai mô hình Zero Trust. Nhiều tổ chức không đầu tư đầy đủ vào công cụ giám sát và phát hiện bất thường, dẫn đến việc không phát hiện kịp thời các hoạt động đáng ngờ hoặc xâm nhập. Thiếu sự giám sát hiệu quả có thể tạo ra cơ hội cho kẻ tấn công duy trì quyền truy cập trong một khoảng thời gian dài mà không bị phát hiện.
Khó khăn trong việc quản lý nhiều thiết bị
Sự gia tăng số lượng thiết bị cá nhân và thiết bị IoT kết nối vào mạng lưới làm phức tạp việc quản lý và bảo mật. Nếu tổ chức không có quy trình rõ ràng để quản lý các thiết bị này, sẽ rất khó khăn để duy trì an ninh và đảm bảo rằng mọi thiết bị đều đáp ứng các yêu cầu bảo mật.
Thay đổi nhanh chóng trong người dùng và vai trò
Tính linh hoạt của người dùng và sự thay đổi liên tục trong vai trò cũng có thể gây ra khó khăn trong việc áp dụng mô hình Zero Trust. Nếu tổ chức không nhanh chóng điều chỉnh quyền truy cập và chính sách theo sự thay đổi này, sẽ dễ dẫn đến việc những người dùng không đủ điều kiện vẫn có thể truy cập vào tài nguyên nhạy cảm.
Lời kết
Triển khai mô hình Zero Trust mang lại nhiều lợi ích trong việc bảo vệ an ninh mạng, nhưng đồng thời cũng đặt ra không ít thách thức cho các tổ chức. Từ tính linh hoạt của người dùng và vai trò đến sự gia tăng về số lượng thiết bị và ứng dụng, các yếu tố này yêu cầu các tổ chức phải áp dụng một cách tiếp cận có hệ thống và chiến lược rõ ràng. Việc xác định bề mặt tấn công, phát triển chính sách rõ ràng và giám sát liên tục là những yếu tố quan trọng không thể thiếu trong quá trình triển khai. Các tổ chức cần đầu tư vào đào tạo nhân viên, xây dựng cơ sở hạ tầng bảo mật mạnh mẽ và áp dụng các công nghệ hiện đại để thích ứng với môi trường mạng ngày càng phức tạp.
Dù mô hình Zero Trust có thể giúp bảo vệ tài nguyên và dữ liệu một cách hiệu quả, nhưng nó không phải là một giải pháp hoàn hảo. Để thành công, các tổ chức cần phải chuẩn bị kỹ lưỡng, linh hoạt và sẵn sàng điều chỉnh các chính sách và quy trình bảo mật của mình trước những thay đổi nhanh chóng trong công nghệ và mối đe dọa an ninh. Chỉ có như vậy, mô hình Zero Trust mới có thể phát huy tối đa hiệu quả trong việc bảo vệ an ninh mạng trong kỷ nguyên số hiện đại.
Trần Anh Tú